En avril dernier, Google a introduit une nouvelle section "Sécurité des données" dans la liste des applications du Play Store pour résumer la façon dont les applications utilisent vos données personnelles. Selon Google, le but est d'améliorer la transparence sur la manière dont les applications collectent et traitent les données, suivant ainsi les traces d'Apple et des étiquettes de confidentialité de l'App Store. Cette nouvelle section fournit essentiellement un aperçu des données qu'une application collecte ou partage, si ces données sont sécurisées, et tout autre détail supplémentaire qui pourrait avoir un impact sur la confidentialité et la sécurité.
Si, d'une part, Google a introduit la section "Sécurité des données" sur le Play Store pour fournir aux utilisateurs davantage d'information sur la manière dont les applications utilisent leurs données, d'autre part, la société supprime des détails cruciaux des listes d'applications. En mars de cette année, Google a procédé à la suppression de certains points des listes Play Store pour certains utilisateurs. Maintenant, il se débarrasse de la liste des "autorisations". Pour ceux qui l'ignorent, les listes d'applications sur le Play Store comprennent une section "Permissions" qui répertorie toutes les autorisations requises par chaque application.
Cette section permet aux utilisateurs de vérifier facilement toutes les autorisations requises par une application sans toutefois l'installer sur leur appareil, ce qui en fait une fonction pratique pour les personnes soucieuses de leur vie privée. Cependant, Google semble l'avoir supprimée pour toutes les applications. Les développeurs ont jusqu'au 20 juin 2022 pour soumettre le contenu de leur section "Sécurité des données". Dans l'ensemble, la section "Sécurité des données" mettra en évidence les éléments suivants :
- si le développeur collecte des données et dans quel but ;
- si le développeur partage des données avec des tiers ;
- les pratiques de sécurité de l'application, comme le chiffrement des données en transit et la possibilité pour les utilisateurs de demander la suppression des données ;
- si une application qualifiée s'est engagée à respecter les règles de Google Play relatives aux familles afin de mieux protéger les enfants dans le Play Store ;
- si le développeur a validé ses pratiques de sécurité par rapport à une norme de sécurité mondiale (plus précisément, la norme MASVS).
Comme pour les détails de l'application tels que les captures d'écran et les descriptions, les développeurs sont responsables des informations contenues dans cette section de leur application et de leur exactitude. Les règles du Google Play exigent que les informations contenues dans cette section soient exactes. Toute déformation des données par le développeur sera traitée comme une violation des règles de Google Play, ce qui signifie qu'une application peut être retirée du Google Play si elle ne divulgue pas correctement ou précisément les données qu'elle collecte et le traitement qu'elle en fait.
Cependant, selon les experts en cybersécurité, la suppression de la liste des autorisations ne semble pas être une bonne décision pour la vie privée du tout. À première vue, les entrées relatives à la sécurité des données peuvent sembler assez similaires à l'ancienne liste des autorisations des applications. On y trouve des éléments tels que la "localisation" et, à certains égards, c'est mieux qu'une simple liste d'autorisations, car les développeurs peuvent expliquer comment et pourquoi chaque donnée est collectée. Toutefois, la différence réside dans la manière dont ces données aboutissent dans le système de Google.
Image 1
Plus précisément, l'ancienne liste des autorisations des applications était garantie comme étant factuelle. Pour cause, elle était construite automatique par Google lors de l'analyse d'une application. La nouvelle section "Sécurité des données", quant à elle, fonctionne sur le principe de l'honneur. Voici l'explication de Google aux développeurs sur le fonctionnement de la nouvelle section : « vous êtes seul responsable des déclarations complètes et exactes que vous faites dans la fiche de votre application sur Google Play. Google Play examine les applications en fonction de toutes les exigences du règlement ».
« Néanmoins, nous ne pouvons pas déterminer, au nom des développeurs, la manière dont ils traitent les données des utilisateurs. Vous êtes le seul à posséder toutes les informations nécessaires pour remplir le formulaire de sécurité des données. Lorsque Google a connaissance d'une divergence entre le comportement de votre application et votre déclaration, nous pouvons prendre les mesures appropriées, y compris des mesures d'exécution ». En avril, il n'était pas tout à fait clair que la section des autorisations disparaîtrait au moment du lancement de la nouvelle section "Sécurité des données".
Certains experts en cybersécurité pensent que c'est une étrange régression que de passer des faits vérifiés par ordinateur à un système d'honneur. Dans un fil de discussion sur Twitter, Mishaal Rahman, rédacteur technique senior chez Esper (une plateforme DevOps permettant aux développeurs d'automatiser l'ensemble du cycle de vie d'une application d'Android), a partagé des captures d'écran de la liste Play Store pour l'application Facebook avant et après l'entrée en vigueur du changement. Comme vous pouvez le voir sur les images 1 et 2, la liste mise à jour n'affiche plus la liste des "autorisations".
Image 2
Cela signifie que vous ne pouvez plus vérifier les autorisations de l'application avant de l'installer. En outre, il est également difficile de faire confiance à la capacité de Google à "prendre connaissance d'une anomalie" dans la section "Sécurité des données" alors que le Play Store présente déjà une quantité énorme de problèmes d'application et de règles. Selon les experts et des commentaires sur le sujet, il serait préférable de combiner les deux systèmes - générer une liste d'autorisations et laisser les développeurs décrire l'utilisation de chacune d'elles.
Ainsi, les utilisateurs pourraient comparer les deux pour confirmer que les autorisations déclarées par les développeurs sont conformes aux conclusions de Google. Par ailleurs, comme le souligne Rahman, Google stocke les autorisations des applications dans le Play Store, mais ce n'est pas visible depuis l'interface. Il suggère donc de télécharger l'alternative open source du Play Store, appelée Aurora, qui affiche toujours les autorisations avant de télécharger une application. Enfin, il convient de noter que l'App Store d'Apple a mis en place une politique similaire pour ses étiquettes "nutritionnelles" de confidentialité.
Apple exige également que les développeurs soumettent des "résumés autodéclarés" sur les pratiques de confidentialité de leurs applications. Tout comme Google, Apple fait confiance aux développeurs pour fournir des informations véridiques sur les données collectées par leurs applications. Cependant, plusieurs études ont rapporté que ces informations sont souvent "trompeuses ou carrément inexactes".
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la nouvelle section "Sécurité des données" ?
Que pensez-vous de la suppression de la liste des autorisations des applications ?
Selon vous, est-ce une bonne idée de rendre les développeurs responsables de la divulgation de la collecte de données ?
Pensez-vous qu'il serait préférable de combiner les deux systèmes : générer une liste d'autorisations et laisser les développeurs décrire l'utilisation de chacune d'elles ?
Voir aussi
Google Play Store oblige désormais les applications à divulguer les données collectées pour permettre aux utilisateurs de savoir plus facilement ce qu'une application fait de leurs données
Google intente une action en justice contre Match et pourrait éventuellement exclure Tinder de Play Store, il contre-attaque Match Group sur les paiements in-app
Google contraint de mettre fin à la vente d'applications Play Store en Russie, à partir du 5 mai 2022
Google oblige le développeur de Total Commander à supprimer la possibilité d'installer des APK sur les appareils Android, via une plainte relative au règlement du Play Store